Il 10 luglio 2023, la Commissione europea ha adottato l‘attesa decisione di adeguatezza sui trasferimenti di dati nell’ambito del Data Privacy Framework (Dpf) Ue-Usa.
Per le aziende europee è un’ottima notizia. Dopo la sentenza Schrems II della Corte di Giustizia ed alcune decisioni delle autorità per la protezione dei dati personali europee, incluso il Garante contro i trasferimenti dei dati negli Stati Uniti, vi sono stati momenti di incertezza che hanno messo a rischio e, comunque, complicato rapporti commerciali con partner e fornitori.
Il recupero della certezza del diritto
La decisione consente dunque un recupero di certezza del diritto. Si tratta di un provvedimento vincolante: le autorità di protezione dei dati dovranno accettare la decisione di adeguatezza in quanto crea un meccanismo valido per i trasferimenti di dati in conformità con il capitolo V del Gdpr senza la necessità di ottenere ulteriori autorizzazioni o valutazioni della Tia (Tranfer Impact Assessment) effettuata dall’esportatore dei dati. Potranno essere ovviamente valutate caso per caso le violazioni del Principi Dpf (ad esempio in seguito a un reclamo da parte di un interessato) e le organizzazioni Usa che hanno scelto di collaborare con le autorità di protezione dei dati dovranno rispondere direttamente a queste ultime per quanto riguarda le indagini e la risoluzione dei reclami. Ciononostante, non potrà essere sanzionata per trasferimento illecito di dati personali la società europea che ha trasferito i dati negli Stati Uniti verso una organizzazione che ha dichiarato di adottare e rispettare i Principi Dpf.
Cosa devono fare le imprese italiane
Le imprese italiane che intendono concludere con un partner o un fornitore statunitense un accordo commerciale che comporti un trasferimento di dati personali dovranno verificare sul sito web del Dpf se il destinatario negli Stati Uniti è certificato ai sensi del Dpf e se il trasferimento dei dati pertinenti sia coperto da tale certificazione.
Inoltre, nella misura in cui il trasferimento dei dati personali verso una organizzazione Usa si fondi sui Principi Dpf, l’impresa esportatrice dovrà informare gli interessati aggiornando l’informativa sulla privacy ai sensi degli artt. 13 e 14 del Gdpr.
Scc e Bcr, cosa cambia
Gli esportatori di dati dell’Ue potrebbero avere motivo di fare affidamento ancora sulle Scc (Standard Contractual Clauses ) o sulle Bcr-(Binding Corporate Rules), soprattutto se questi sono già sono stati adottati e se è commercialmente conveniente non modificare gli assetti contrattuali con partner o infragruppo. In questi casi, le imprese europee potranno tenere conto dell’impatto della decisione di adeguatezza sulle Scc e/o Bcr esistenti. Come detto, infatti, le riforme statunitensi in materia di poteri dell’intelligence riguarderanno anche le indagini sui dati trasferiti nell’ambito di meccanismi quali Scc o Bcr, e quindi anche i trasferimenti effettuati nell’ambito di tali meccanismi potranno beneficiare delle motivazioni che stanno alla base della decisione di adeguatezza.
Cosa succede con le Tia esistenti
Inoltre, la Tia per i trasferimenti di dati tra l’Ue e gli Stati Uniti non sarà tecnicamente necessaria per i trasferimenti coperti dal Dpf. Tuttavia, le Tia esistenti (ad esempio quelli preparati ai sensi della clausola 14 delle Scc) nell’ambito di trasferimenti verso organizzazioni Usa che non hanno dichiarato di adottare i Principi Dpf potranno essere riconsiderate tenendo conto delle modifiche apportate alle leggi statunitensi in materia di sorveglianza.
Il Data Privacy Framework in dettaglio
Nell’articolo 1 della decisione di adeguatezza, la Commissione Ue conclude che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’Ue a organizzazioni negli Stati Uniti che hanno certificato la conformità ai Principi DPF e che sono inclusi nella “Data Privacy Framework List”, che sarà mantenuta e resa pubblica dal Dipartimento del Commercio degli Stati Uniti.
Come nel caso del Privacy Shield e del Safe Harbor, l’accertamento dell’adeguatezza del Dpf si applica solo ai trasferimenti di dati effettuati in base al Dpf e non a tutti i trasferimenti verso destinatari statunitensi. Ciò detto, tuttavia, la decisione di adeguatezza della Commissione Ue aiuta a superare le preoccupazioni specifiche relative all’accesso ai dati personali dell’Ue da parte delle agenzie governative statunitensi, poiché le riforme statunitensi in materia poteri dell’intelligence riguarderanno anche le indagini sui dati trasferiti nell’ambito di meccanismi quali Scc o Bcr e quindi anche i trasferimenti effettuati nell’ambito di tali meccanismi potranno beneficiare delle motivazioni che stanno alla base della decisione di adeguatezza.
Cosa prevede la legge Usa
Ai fini della decisione di adeguatezza – e per superare i rilievi dalla Corte di Giustizia – la Commissione Ue sottolinea che il Dpf introduce miglioramenti significativi rispetto ai precedenti accordi di Safe Harbour e Privacy Shield. In particolare, la Commissione dimostra di aver valutato in dettaglio le modifiche introdotte dalla EO 14086 e conclude che le nuove garanzie vincolanti rispondono a tutte le preoccupazioni sollevate nella sentenza Schrems II della Corte di Giustizia. In particolare, la Commissione precisa che:
- La legge statunitense contiene diverse limitazioni e salvaguardie per quanto riguarda l’accesso e l’utilizzo dei dati personali per scopi di applicazione della legge penale e di sicurezza nazionale, e prevede meccanismi di controllo e di ricorso che limitano l’accesso ai dati dell’Ue a quanto è necessario e proporzionato agli scopi perseguite dalle agenzie. La Commissione UE sottolinea che il 3 luglio 2023 la comunità di intelligence degli Stati Uniti ha adottato varie politiche e procedure che riguardano diverse agenzie statunitensi come la Central Intelligence Agency, il Federal Bureau Of Investigation, la National Security Agency e il Department of Homeland Security, che attuano le salvaguardie della EO 14086 rispondendo alle preoccupazioni della Corte di Giustizia.
- Per quanto riguarda le opzioni richieste per il ricorso giudiziario, il Tribunale per il riesame della protezione dei dati, di recente istituzione, è un tribunale indipendente a cui avranno accesso direttamente i cittadini Ue a cui appartengono i dati trasferiti, oltre a quelli dell’area See come Islanda, Lichtenstein e Norvegia aggiunti come “Stati qualificati” dal Procuratore generale degli Stati Uniti il 30 giugno 2023.
Il Tribunale del riesame
Il funzionamento del Dpf sarà soggetto a revisioni periodiche da parte della stessa Commissione Ue, insieme ai rappresentanti delle autorità europee per la protezione dei dati (e quindi anche il Garante italiano) e alle autorità statunitensi competenti. Ai sensi dell’articolo 3 della decisione di adeguatezza, la Commissione monitorerà costantemente l’applicazione del Dpf e, qualora abbia indicazioni che non è più garantito un livello di protezione adeguato, informerà le autorità statunitensi competenti e, se necessario, potrà decidere di sospendere, modificare o abrogare la decisione di adeguatezza o di limitarne la portata. La prima revisione avrà luogo nel luglio 2024 per verificare che tutti gli elementi pertinenti dell’EO 14086 siano stati pienamente attuati e funzionino efficacemente nella pratica.
Il meccanismo di autocertificazione
Al fine di rendere effettiva ed efficace la decisione di adeguatezza, le organizzazioni Usa che importano dati personali dall’Ue e vogliono utilizzare il Dpf devono autocertificare la loro adesione ai Principi del Dpf. I Principi del Dpf sono una versione aggiornata e ulteriormente motivata dei principi già stabiliti nel quadro del Privacy Shield e possono essere sintetizzati come segue:
Informativa: l’organizzazione Usa deve informare gli interessati, tra l’altro, in merito alla sua partecipazione al Dpf e fornire un link/accesso web all’elenco dei Principi Dpf; ai tipi di dati personali raccolti; all’impegno a rispettare Principi Dpf; alla tipologia o l’identità dei terzi a cui trasferisce ulteriormente i dati personali raccolti e le finalità di tale trasferimento successivo; al diritto degli interessati di accedere ai propri dati personali; all’organismo indipendente di risoluzione delle controversie designato per trattare i reclami e fornire un ricorso appropriato e gratuito all’individuo; alla possibilità di proporre ricorso al Dprc; all’essere soggetto ai poteri di indagine del Dipartimento del Commercio degli Stati Uniti o di qualsiasi altro organismo statutario autorizzato negli Stati Uniti.
Scelta/opt-out: l’organizzazione deve offrire alle persone l’opportunità di impedire (tramite un opt-out) che il loro dati personali (i) siano divulgati a terzi o (ii) siano utilizzati per uno scopo sostanzialmente diverso da quello/i per cui sono state originariamente raccolte o successivamente trasferite.
Responsabilità (accountability) per il trasferimento successivo: oltre a garantire la facoltà di scelta, le organizzazioni devono stipulare un contratto con il terzo titolare del trattamento cui i dati sono trasferiti o messi a disposizione che preveda che tali dati possano essere trattati solo per finalità limitate e specifiche, coerentemente con il consenso fornito dall’individuo (o altra valida base giuridica), e che il destinatario fornisca lo stesso livello di protezione dei Principi DPF ovvero notifichi all’organizzazione la circostanza di non poter più soddisfare tale obbligo. In tal caso il contratto deve prevedere che il terzo cessi il trattamento o adotti altre misure ragionevoli e appropriate per porvi rimedio.
Sicurezza: le organizzazioni devono adottare misure ragionevoli e appropriate per proteggere i dati raccolti da perdita, uso improprio e accesso, divulgazione, alterazione e distruzione non autorizzati, tenendo in debito conto i rischi connessi al trattamento e la natura dei dati personali.
Integrità dei dati e limitazione delle finalità: l’organizzazione non può trattare i dati personali in modo incompatibile con le finalità per cui sono stati raccolti o successivamente autorizzati dall’interessato. Nella misura necessaria a tali scopi, un’organizzazione deve adottare misure ragionevoli per garantire che i dati personali siano affidabili per l’uso previsto, accurati, completi e aggiornati. L’organizzazione deve attenersi ai Principi Dpf per tutto il tempo in cui conserva tali informazioni.
Accesso: gli interessati devono avere accesso alle informazioni personali che le riguardano e che sono in possesso di un’organizzazione e devono poterle correggere, modificare o cancellare qualora siano inesatte o siano state trattate in violazione dei Principi Dpf.
Ricorso, applicazione e responsabilità: si devono prevedere solidi meccanismi per garantire l’osservanza dei Principi Dpf, il ricorso per le persone interessate dalla mancata osservanza dei
Principi e le conseguenze per l’organizzazione in caso di mancato rispetto degli stessi. Tali meccanismi devono almeno includere
- meccanismi di ricorso indipendenti e prontamente disponibili, attraverso i quali l’organizzazione risponderà prontamente alle indagini e alle richieste del Dipartimento del Commercio degli Stati Uniti. Le organizzazioni che hanno scelto di collaborare con le autorità di protezione dei dati devono rispondere direttamente a queste ultime per quanto riguarda le indagini e la risoluzione dei reclami;
- procedure di follow-up per verificare la veridicità delle attestazioni e delle affermazioni delle organizzazioni sulle loro pratiche in materia di privacy; e
- l’obbligo di porre rimedio ai problemi derivanti dal mancato rispetto dei Principi DPF da parte delle organizzazioni che dichiarano di aderirvi.
I principi supplementari
Come previsto dall’allegato I della decisione, i principi comprendono anche “principi supplementari” che includono, tra l’altro, la responsabilità supplementare: i fornitori di servizi Internet, i vettori di telecomunicazioni e altre organizzazioni non sono responsabili quando per conto di un’altra organizzazione si limitano a trasmettere, instradare, scambiare o memorizzare informazioni. Il Dpf non crea responsabilità supplementare. Nella misura in cui un’organizzazione agisce come mero tramite per i dati trasmessi da terzi e non determina le finalità e i mezzi del trattamento di tali dati personali, non sarebbe responsabile per violazione dei Principi Dpf da parte del committente.
In sintesi, per aderire al Dpf, un’organizzazione Usa deve sviluppare una politica sulla privacy conforme, identificare un meccanismo di ricorso indipendente e autocertificarsi attraverso il sito web fornito dal Dipartimento del Commercio degli Stati Uniti, accessibile all’indirizzo https://www.dataprivacyframework.gov/s/.
Sul sito web del Dpf è disponibile anche un elenco di organizzazione certificate, in modo che gli esportatori di dati con sede nell’UE possano facilmente verificare se un importatore di dati statunitense beneficia delle protezioni previste dalla decisione di adeguatezza del Dpf.
